移動(dòng)互聯(lián)的安全問題

1移動(dòng)互聯(lián)網(wǎng)惡意程序研究概述從2012年12月底，中國移動(dòng)互聯(lián)網(wǎng)用戶規(guī)模達(dá)到4.2億人。利用手機(jī)或Pad等移動(dòng)終端作為上網(wǎng)設(shè)備,通過移動(dòng)互聯(lián)網(wǎng)下載游戲、獲取天氣或新聞服務(wù)、閱讀電子書籍、參與社交活動(dòng)逐漸成為人們的日常生活方式。移動(dòng)互聯(lián)網(wǎng)在給人們帶來便捷生活的同時(shí),安全問題也隨之而來。據(jù)統(tǒng)計(jì),移動(dòng)互聯(lián)網(wǎng)惡意程序由2005年的52個(gè)猛增到2012年的162981個(gè)。移動(dòng)惡意軟件采用不知情訂購方式消耗用戶資費(fèi)、竊取個(gè)人隱私(通訊錄或位置信息)、實(shí)施遠(yuǎn)程監(jiān)控和釣魚欺詐行為,極大地侵害了用戶的切身利益。目前90%以上的用戶對(duì)手機(jī)缺乏安全感。移動(dòng)互聯(lián)網(wǎng)的安全狀況不容樂觀。目前學(xué)術(shù)界與廠商的主要研究工作集中在惡意軟件的識(shí)別與研判技術(shù),希望借助手機(jī)安全軟件檢測(cè)并阻止智能終端上的惡意軟件行為。但我國終端安全軟件的普及率只有54.6%,80%以上的用戶表示對(duì)移動(dòng)安全問題并沒有特殊的關(guān)注。大量沒有安全軟件防護(hù)的用戶暴露在惡意軟件的直接威脅之下。運(yùn)營(yíng)商在控制惡意軟件的網(wǎng)絡(luò)轉(zhuǎn)播、樣本采集、研判和封堵方面具有強(qiáng)大的優(yōu)勢(shì),研究運(yùn)營(yíng)商適用的惡意軟件防治體系和關(guān)鍵技術(shù)對(duì)保障移動(dòng)互聯(lián)網(wǎng)安全具有重要意義。通過監(jiān)控移動(dòng)應(yīng)用的下載源、下載渠道和終端運(yùn)行環(huán)境,運(yùn)營(yíng)商能為用戶提供更為安全的移動(dòng)互聯(lián)網(wǎng)通信環(huán)境。2惡意程序檢測(cè)2007年,隨著移動(dòng)惡意軟件的爆發(fā)式增長(zhǎng),國內(nèi)外學(xué)者對(duì)新出現(xiàn)的移動(dòng)惡意軟件進(jìn)行了跟蹤研究,對(duì)惡意軟件的行為特征、發(fā)展趨勢(shì)、研判方法和識(shí)別系統(tǒng)進(jìn)行了大量研究。參考文獻(xiàn)[1]指出,惡意軟件多通過重新打包流行軟件、升級(jí)惡意行為模塊、惡意誘導(dǎo)用戶下載等方式進(jìn)行傳播。惡意軟件感染用戶手機(jī)后,通常會(huì)進(jìn)一步利用平臺(tái)漏洞獲取root權(quán)限,通過用戶不知情的業(yè)務(wù)訂購或上傳用戶隱私(通訊錄、用戶IMEI號(hào)碼)等手段實(shí)施侵害,也可能與遠(yuǎn)程控制服務(wù)器聯(lián)系獲取進(jìn)一步侵害指令。最近的研究表明,惡意軟件越來越多地考慮經(jīng)濟(jì)因素,通過強(qiáng)行植入廣告直接獲取經(jīng)濟(jì)利益通常,移動(dòng)惡意軟件的檢測(cè)研判方法可以按照靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)、人工檢測(cè)和自動(dòng)檢測(cè)、基于特征規(guī)則的檢測(cè)和基于統(tǒng)計(jì)數(shù)值的檢測(cè)等方式進(jìn)行分類。靜態(tài)檢測(cè)主要包括兩種方式:一種是基于簽名的檢測(cè)動(dòng)態(tài)檢測(cè)指將移動(dòng)程序加載到模擬器或真機(jī)環(huán)境下,通過觀察程序與Andriod平臺(tái)、網(wǎng)絡(luò)環(huán)境的交互行為判定是否是惡意程序綜上所述,目前學(xué)術(shù)界的大量研究工作集中在移動(dòng)惡意程序的研判方法方面,還沒有從運(yùn)營(yíng)商角度,對(duì)惡意軟件防護(hù)體系結(jié)構(gòu)進(jìn)行系統(tǒng)研究,而運(yùn)營(yíng)商在惡意程序的發(fā)現(xiàn)、研判和封堵方面具有獨(dú)特的優(yōu)勢(shì)。結(jié)合深度分組檢測(cè)、日志留存、網(wǎng)絡(luò)側(cè)封堵和客戶端技術(shù)的綜合防護(hù)體系研究,對(duì)運(yùn)營(yíng)商保障移動(dòng)互聯(lián)網(wǎng)的安全具有重要意義。3運(yùn)營(yíng)商惡意軟件保護(hù)系統(tǒng)3.1網(wǎng)絡(luò)側(cè)技術(shù)的應(yīng)用目前業(yè)界主流的惡意軟件防護(hù)架構(gòu)主要有客戶端技術(shù)和網(wǎng)絡(luò)側(cè)技術(shù)兩種。客戶端技術(shù)通過在移動(dòng)終端上安裝安全軟件實(shí)現(xiàn)防護(hù),這種防護(hù)模式需要通過應(yīng)用商店或用戶舉報(bào)途徑搜集惡意軟件樣本,識(shí)別出惡意軟件的特征碼或特征行為,再將惡意軟件簽名和防護(hù)規(guī)則下發(fā)到惡意軟件客戶端,實(shí)現(xiàn)對(duì)移動(dòng)用戶的實(shí)時(shí)保護(hù)。網(wǎng)絡(luò)側(cè)技術(shù)主要通過監(jiān)控網(wǎng)絡(luò)流量分析識(shí)別出網(wǎng)絡(luò)中傳播的惡意軟件,并通過流控系統(tǒng)、DNS解析攔截技術(shù)對(duì)惡意軟件的傳播進(jìn)行封堵。從表1對(duì)網(wǎng)絡(luò)側(cè)和客戶端側(cè)防護(hù)技術(shù)的分析可以看出,客戶端側(cè)防護(hù)技術(shù)通過軟件自動(dòng)檢測(cè)和用戶舉報(bào)獲得的惡意代碼樣本的數(shù)量較大,但檢測(cè)和上載樣本會(huì)消耗大量手機(jī)計(jì)算資源和流量資源;網(wǎng)絡(luò)側(cè)檢測(cè)不需要安裝客戶端安全軟件,可以保護(hù)全網(wǎng)用戶,且不消耗終端資源,但已經(jīng)感染惡意軟件的手機(jī)不能徹底清除惡意程序,用戶手機(jī)仍然可以執(zhí)行用戶不知情業(yè)務(wù)訂購、惡意扣費(fèi)、上傳隱私數(shù)據(jù)等行為,因此對(duì)用戶的保護(hù)也是不全面的。兩種防護(hù)技術(shù)各有優(yōu)勢(shì)和劣勢(shì),需要將兩種技術(shù)進(jìn)行有機(jī)地整合,為運(yùn)營(yíng)商網(wǎng)絡(luò)提供綜合防護(hù)能力。3.2集中管控平臺(tái)本文提出了一種網(wǎng)絡(luò)側(cè)與客戶端聯(lián)動(dòng)的惡意軟件防護(hù)體系,如圖1所示。運(yùn)營(yíng)商在全網(wǎng)各省公司的Gn端口部署監(jiān)控程序,對(duì)網(wǎng)絡(luò)中傳輸?shù)腁ndriod、Symbian等平臺(tái)應(yīng)用程序的下載、傳輸行為進(jìn)行監(jiān)控。在網(wǎng)絡(luò)側(cè)部署集中惡意軟件管控平臺(tái),集成惡意軟件樣本搜集和研判、網(wǎng)絡(luò)封堵和客戶端服務(wù)的能力。同時(shí),應(yīng)通過手機(jī)預(yù)置或合作運(yùn)營(yíng)等方式,在用戶終端上部署客戶端安全軟件,執(zhí)行客戶端惡意軟件的防護(hù)策略部署、查殺、投訴和樣本上傳等功能。運(yùn)營(yíng)商通過Gn口的網(wǎng)絡(luò)流量監(jiān)控、客戶端用戶舉報(bào)和應(yīng)用商店的應(yīng)用程序爬取獲得軟件樣本,利用靜態(tài)和動(dòng)態(tài)檢測(cè)技術(shù)進(jìn)行研判,形成惡意軟件黑名單和白名單簽名數(shù)據(jù)庫,包括惡意軟件的標(biāo)準(zhǔn)名稱、MD5簽名、主控UR(域名、IP地址)等信息。運(yùn)營(yíng)商通過集中管控系統(tǒng)在網(wǎng)關(guān)和DNS上實(shí)施對(duì)惡意程序的主控URL、域名和IP地址的封堵和屏蔽,阻斷惡意程序的下載傳播渠道。運(yùn)營(yíng)商惡意代碼集中管控平臺(tái)與內(nèi)部BOSS和客戶服務(wù)系統(tǒng)進(jìn)行互聯(lián),通過分析用戶上網(wǎng)日志、投訴信息、網(wǎng)絡(luò)流量,獲得惡意軟件網(wǎng)絡(luò)行為規(guī)則及全網(wǎng)惡意軟件下載和主控URL、惡意軟件MD5簽名,并將上述信息下發(fā)到客戶端安全軟件?？蛻舳塑浖锰卣鲙鞂?duì)終端軟件進(jìn)行掃描,檢測(cè)并刪除用戶手機(jī)上的惡意代碼;也可以在用戶訪問惡意URL時(shí),及時(shí)阻斷下載行為。如果終端安全軟件監(jiān)控到駐留用戶手機(jī)上的其他軟件有惡意行為,將自動(dòng)上報(bào)軟件樣本。這種網(wǎng)絡(luò)側(cè)與客戶端聯(lián)動(dòng)的惡意軟件防護(hù)體系可以借助云檢測(cè)等技術(shù),將惡意代碼的檢測(cè)計(jì)算集中在網(wǎng)絡(luò)側(cè)完成,極大地減輕了對(duì)用戶手機(jī)資源的消耗。此外,客戶端安全軟件作為獨(dú)立于網(wǎng)絡(luò)側(cè)的惡意代碼樣本來源,擴(kuò)充了惡意代碼樣本,能在網(wǎng)絡(luò)側(cè)封堵更多的惡意URL,提升運(yùn)營(yíng)商全網(wǎng)的惡意代碼封堵效率。網(wǎng)絡(luò)側(cè)惡意軟件集中管控平臺(tái)與運(yùn)營(yíng)商內(nèi)部的客戶服務(wù)系統(tǒng)和BOSS相連,可以充分利用用戶訪問日志對(duì)惡意軟件進(jìn)行精準(zhǔn)研判。4運(yùn)營(yíng)商的惡意軟件保護(hù)核心技術(shù)4.1惡意軟件傳播監(jiān)測(cè)系統(tǒng)運(yùn)營(yíng)商惡意軟件防護(hù)系統(tǒng)能否準(zhǔn)確識(shí)別并處置惡意軟件,與搜集并分析的惡意軟件樣本數(shù)量及行為特征有直接關(guān)系。在本文的防護(hù)體系中,惡意軟件樣本的來源主要有3個(gè)渠道:運(yùn)營(yíng)商網(wǎng)絡(luò)采樣、應(yīng)用商店爬取和用戶舉報(bào)。運(yùn)營(yíng)商可通過網(wǎng)絡(luò)Gn口采樣,獲取惡意程序樣本。這種監(jiān)控技術(shù)主要完成如下功能:獲取當(dāng)前活躍的疑似惡意軟件樣本。監(jiān)控系統(tǒng)對(duì)網(wǎng)絡(luò)中傳輸?shù)乃袘?yīng)用流量進(jìn)行實(shí)時(shí)監(jiān)控,恢復(fù)利用Web、彩信、郵件等渠道傳播的應(yīng)用程序樣本,上報(bào)黑名單和白名單之外的未知應(yīng)用程序;監(jiān)控惡意軟件傳播事件。Gn口采樣檢測(cè)系統(tǒng)可以針對(duì)常見惡意軟件行為進(jìn)行監(jiān)控,如某網(wǎng)絡(luò)通信使用HTTP,并在請(qǐng)求中包含用戶的IMSI、IMEI、終端型號(hào)等信息;傳播同一個(gè)手機(jī)軟件文件數(shù)量超過門限閾值/天;網(wǎng)絡(luò)數(shù)據(jù)分組包含異常特征字等。如果發(fā)現(xiàn)上述異常行為,則對(duì)相關(guān)網(wǎng)絡(luò)疑似安全事件進(jìn)行上報(bào),協(xié)助運(yùn)營(yíng)商掌握網(wǎng)絡(luò)中的惡意軟件傳播情況。應(yīng)用軟件商店樣本可以通過改造并集成現(xiàn)有爬蟲工具Scrapy或Lucene進(jìn)行爬取。用戶舉報(bào)指當(dāng)用戶發(fā)現(xiàn)可疑應(yīng)用軟件行為時(shí),借助客戶端安全軟件的舉報(bào)功能或運(yùn)營(yíng)商客戶服務(wù)體系,報(bào)告惡意軟件行為日志或主控URL地址。多通道惡意軟件樣本與日志采集技術(shù)架構(gòu)如圖2所示。4.2系統(tǒng)維護(hù)惡意運(yùn)營(yíng)商惡意軟件防護(hù)系統(tǒng)整合動(dòng)態(tài)和靜態(tài)研判技術(shù)對(duì)采集到的應(yīng)用軟件樣本進(jìn)行研判。系統(tǒng)通過掃描應(yīng)用程序的應(yīng)用許可、系統(tǒng)API或監(jiān)控程序短/彩信收發(fā)、連接遠(yuǎn)程URL等行為,給出研判結(jié)果。運(yùn)營(yíng)商的研判優(yōu)勢(shì)在于可以結(jié)合網(wǎng)絡(luò)日志,查找用戶手機(jī)是否訪問過惡意軟件下載URL或主控URL、是否有泄露用戶的IMSI/IMEI/終端型號(hào)等關(guān)鍵字信息,判斷手機(jī)終端是否中毒,并通過客戶服務(wù)系統(tǒng)及時(shí)通知用戶處置。若疑似樣本確定為新型手機(jī)惡意軟件,則提取特征碼信息,將其新增到全網(wǎng)已知手機(jī)惡意軟件庫。系統(tǒng)維護(hù)惡意軟件下載URL和主控端URL庫、惡意軟件行為特征庫和正常軟件MD5簽名庫,逐漸補(bǔ)充惡意軟件識(shí)別特征,提升惡意軟件研判的準(zhǔn)確率。一般系統(tǒng)應(yīng)能自動(dòng)識(shí)別網(wǎng)絡(luò)中99%以上的惡意程序,其他通過人工研判進(jìn)行處置。4.3系統(tǒng)封堵措施惡意軟件的封堵指在運(yùn)營(yíng)商流控系統(tǒng)和DNS上阻止用戶訪問惡意軟件下載URL和主控URL,從而對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)實(shí)施保護(hù)。運(yùn)營(yíng)商將惡意URL下發(fā)到流控系統(tǒng)前置機(jī)上形成封堵黑名單。通過DPI設(shè)備對(duì)網(wǎng)內(nèi)及網(wǎng)間流量進(jìn)行解析,取得用戶訪問的URL或域名請(qǐng)求后,如果命中黑名單,則由前置服務(wù)器向用戶發(fā)送reset報(bào)文或DNS重置頁面報(bào)文,由于正常網(wǎng)站返回結(jié)果或正常DNS解析結(jié)果返回較慢,會(huì)被用戶主機(jī)丟棄,從而阻斷惡意URL的訪問4.4云偵查技術(shù)的應(yīng)用框架運(yùn)營(yíng)商可以通過手機(jī)預(yù)置或廠商合作的方式在用戶手機(jī)上安裝終端安全軟件。終端安全軟件主要完成惡意軟件特征的下載和存儲(chǔ),并利用特征庫對(duì)手機(jī)應(yīng)用程序進(jìn)行掃描。在本文基于云查殺技術(shù)的框架里,惡意軟件全量病毒庫存儲(chǔ)在惡意軟件治理云平臺(tái)上,下發(fā)到用戶手機(jī)上的策略只包含少量當(dāng)前活躍的惡意軟件MD5特征值和惡意行為的特征。終端軟件利用這些特征對(duì)手機(jī)應(yīng)用進(jìn)行掃描和監(jiān)控,如果發(fā)現(xiàn)符合條件的應(yīng)用程序,將其特征(MD5簽名、本機(jī)API調(diào)用行為記錄等信息)上報(bào)到云查殺平臺(tái),云平臺(tái)將借助惡意軟件數(shù)據(jù)庫、染毒用戶日志對(duì)惡意軟件進(jìn)行研判,并將處置信息下發(fā)到終端軟件中,實(shí)現(xiàn)病毒查殺。這種云查殺框架減少了對(duì)手機(jī)資源的占用,并通過大范圍的用戶樣本舉報(bào),補(bǔ)充了網(wǎng)絡(luò)側(cè)惡意軟件采樣研判的不足。終端安全軟件云查殺功能架構(gòu)如圖4所示。5應(yīng)用安全檢測(cè)通過編制惡意軟件防護(hù)試驗(yàn)系統(tǒng)并在某運(yùn)營(yíng)商現(xiàn)網(wǎng)部署,驗(yàn)證了本文所提出的惡意軟件網(wǎng)絡(luò)側(cè)與客戶端聯(lián)動(dòng)的管理技術(shù)。系統(tǒng)包括惡意軟件集中管控平臺(tái)(如圖5所示)和手機(jī)客戶端殺毒軟件(如圖6所示)兩部分。如圖所示,集中管控平臺(tái)利用本文技術(shù)將網(wǎng)絡(luò)側(cè)Gn口捕獲、應(yīng)用商店爬取和手機(jī)終端舉報(bào)的疑似惡意軟件進(jìn)行自動(dòng)和人工研判后,給出安全或危險(xiǎn)的研判結(jié)論,并下達(dá)對(duì)惡意軟件URL或域名全網(wǎng)封堵的指令。如圖6所示,手機(jī)殺毒軟件可配置自動(dòng)更新病毒庫或自動(dòng)聯(lián)網(wǎng)進(jìn)行云查殺等操作,通過與云平臺(tái)聯(lián)網(wǎng),獲取惡意軟件特征并對(duì)用戶手機(jī)中的程序進(jìn)行查殺操作。系統(tǒng)現(xiàn)網(wǎng)部署后,有效地檢測(cè)并阻止了現(xiàn)網(wǎng)高發(fā)病毒對(duì)用戶的侵害,如圖7所示?？傊?惡意軟件的大規(guī)模傳播給移動(dòng)互聯(lián)網(wǎng)用戶和運(yùn)營(yíng)商帶來了嚴(yán)重的威脅,運(yùn)營(yíng)商在惡意軟件的采樣、研判和封堵、查殺中具有很大的優(yōu)勢(shì)。本文從運(yùn)營(yíng)商的角度提出了網(wǎng)絡(luò)側(cè)與客戶端聯(lián)動(dòng)的惡意軟件防護(hù)體系,并研究了相關(guān)實(shí)施技術(shù),對(duì)提高運(yùn)營(yíng)商全網(wǎng)防護(hù)水平有重要意義。本文所述技術(shù)尚有如下不足需要進(jìn)一步研究與完善:運(yùn)營(yíng)商網(wǎng)絡(luò)中惡意軟件研判的準(zhǔn)確度還不高,未來需要借助機(jī)器學(xué)習(xí)、模式分類等方法提取惡意程序的研判特征,進(jìn)一步提高研判的能力;雖然